은행 금융 기관을 위한 정보 시스템 위험 관리 지침의 주요 요구 사항은 무엇입니까?

기관의 책임

제6조 은행 금융 기관은 효과적인 정보 시스템 위험 관리 구조를 구축하고 내부 조직 구조와 작업 메커니즘을 개선하며 정보 시스템 위험을 예방 및 통제해야 합니다.

제7조 은행 금융 기관은 다음 정보 시스템 관리 책임을 성실하게 수행해야 합니다.

(1) 정보 시스템 관리와 ​​관련된 국내 법률, 규정 및 기술 표준을 구현하고 CBRC의 지침을 구현합니다. 관련 규제 요건,

(2) 효과적인 정보 보안 시스템 및 내부 통제 절차를 확립하고, 정보 시스템 위험 관리 직책 책임 시스템을 명확히 하며, 그 구현을 감독합니다.

(3) 책임 기관의 정보 시스템 위험에 대한 검사, 평가 및 분석을 조직하고 관련 관리 정보를 기관의 특별 위원회, 은행 규제 위원회 및 파견 사무소에 즉시 제출합니다.

(4) 시기적절 은행 규제 위원회 및 파견 사무소에 보고 기관은 관련 계획에 따라 주요 정보 시스템 사고 또는 긴급 상황에 신속하게 대응해야 합니다.

(5) 정보 시스템 위험을 중국 은행 규제 위원회 및 산하 기관에 보고합니다. 매년 이사회 또는 기타 의사결정 기관의 검토를 거쳐 사무실을 파견합니다.

(6) 기관의 정보 시스템 감사를 훌륭하게 수행합니다.

(7) 중국 은행감독관리위원회 및 그 파견 사무소와 협력하여 정보 시스템 위험 감독 및 검사 업무를 훌륭하게 수행하고 규제 의견에 따라 시정을 수행합니다.

(8) 조직의 조직 정보 시스템 실무자는 정보 시스템과 관련된 비즈니스, 기술 및 보안 교육을 수행합니다.

(9) 정보 시스템 위험 관리를 수행합니다. 기타 관리 관련 업무.

제8조 은행 금융 기관의 이사회 또는 기타 의사 결정 기관은 정보 기술 관리 위원회, 위험 관리 위원회의 전략 계획, 주요 프로젝트 및 위험 감독 및 관리를 담당합니다. 또는 위험 감독을 담당하는 기타 전문 위원회 전반적인 정보 시스템 전략이 수립되어야 하고, 정보 시스템 프로젝트의 구축이 조정되어야 하며, 조직의 정보 시스템의 위험 상태가 정기적으로 평가 및 보고되어야 하며, 의사 결정자에게 제안이 제공되어야 하며, 상응하는 위험 통제 조치를 채택합니다.

제9조 은행금융기관의 법정대표자 또는 주요책임자는 당해 기관의 정보시스템의 위험관리를 책임지는 자이다.

제10조 은행 금융 기관은 기관 정보 시스템의 기획, 연구 개발, 구축, 운영, 유지 관리 및 모니터링을 총괄적으로 담당하는 정보 기술 부서를 설립하고 일상적인 과학 기술 서비스를 제공해야 합니다. 운영 기술 지원, 전문 정보 시스템 위험 관리 부서를 설립 또는 명확히 하고, 정보 시스템 위험 관리 규칙 및 시스템을 수립 및 개선하며, 비즈니스 부서 및 정보 기술 부서가 이를 엄격하게 구현하도록 지원하고, 관련 규제 정보를 제공합니다. 또는 전문 감사 직위에 정보시스템 위험 감사 시스템을 구축 및 개선하고 정보 시스템 위험 감사를 수행하기 위해 적절한 수의 자격을 갖춘 인력을 배치합니다.

제11조 은행 금융 기관에서 정보 시스템 관련 업무에 종사하는 직원은 다음 요구 사항을 충족해야 합니다.

(1) 우수한 직업 윤리를 갖고 정보 시스템 관련 업무 수행을 숙달해야 합니다. 직위 업무에 필요한 전문 지식 및 기술

(2) 사전 교육을 받지 않았거나 교육에 실패한 사람은 이후에 부적합한 직원을 맡을 수 없습니다. 평가는 적시에 조정되어야 한다.

제12조 은행 금융 기관은 정보 시스템 위험 관리를 위한 전문 팀 구성을 강화하고 인재 인센티브 메커니즘을 구축하며 정보 기술 발전에 적응해야 합니다.

제13조 은행 금융 기관은 관련 법률 및 규정에 따라 적시에 표준화된 방식으로 정보 시스템 위험 상태를 공개해야 합니다.

전반적인 위험 통제

제14조 전반적인 위험이란 정보 시스템이 전반적인 상황에 미치는 영향 또는 **전략, 시스템, 전산실, 소프트웨어, 하드웨어, 네트워크 측면에서 의미합니다. , 데이터, 문서 등 *일부 위험이 있습니다.

제15조 은행 금융 기관은 전체 정보 시스템 계획을 기반으로 명확하고 지속적인 위험 관리 전략을 수립하고 정보 시스템의 민감도에 따라 각 통합 요소를 분석 및 평가하며 효과적인 통제를 구현해야 합니다.

제16조 은행금융기관은 자연재해, 영업환경 변화 등으로 인한 보안위협을 방지하고 각종 긴급상황과 악의적인 공격을 방지하기 위한 조치를 취해야 한다.

제17조 은행 금융 기관은 정보 시스템 관련 규칙 및 규정, 기술 사양, 운영 절차 등을 확립 및 개선하고 정보 시스템과 관련된 직원의 책임과 권한을 명확히 해야 하며 제한 메커니즘을 구축해야 합니다. , 최소 권한을 구현합니다.

제18조: 해외에 설립된 우리나라 은행금융기관 또는 국내에 설립된 해외 은행금융기관은 국내외 정보시스템 규제체계의 차이로 인한 국경간 위험을 경계해야 한다.

제19조: 은행 금융 기관은 관련 국가 정보 보안 표준을 엄격히 이행하고 관련 국제 표준을 참조하며 정보 보안 표준화를 적극적으로 추진하고 정보 보안 수준 보호를 구현해야 합니다.

제20조 은행 금융 기관은 정보 시스템에 대한 평가 및 테스트를 강화하고 적시에 수리 및 업데이트를 실시하여 정보 시스템의 보안과 무결성을 보장해야 합니다.

제21조 은행 금융 기관의 정보 시스템 데이터 센터 컴퓨터실은 컴퓨터 사이트, 환경, 전원 공급 및 배전 등에 관한 관련 국가 기술 표준을 준수해야 합니다. 국가 데이터 센터는 최소한 국가 클래스 A 컴퓨터실 표준을 충족해야 하며, 지방 데이터 센터는 최소한 국가 클래스 B 컴퓨터실 표준을 충족해야 하며, 하위 지방 데이터 센터는 최소한 클래스 C 컴퓨터실 표준을 충족해야 합니다. 데이터 센터 컴퓨터실은 엄격한 접근 통제 조치를 취해야 하며, 무단 출입은 허용되지 않습니다.

제22조 은행 금융 기관은 지적 재산권 보호에 주의를 기울여야 하며 정품 소프트웨어를 사용하고 소프트웨어 버전 관리를 강화하며 중국의 독립적인 지적 재산권이 있는 소프트웨어 및 하드웨어 제품의 사용을 적극적으로 장려해야 합니다. 독립적인 지적재산권 정보 시스템 및 관련 금융 상품을 개발 및 개발하고 조직의 정보화 성과를 보호하기 위한 효과적인 조치를 취합니다.

제23조 은행 금융 기관의 정보 시스템과 관련된 전자 장비의 선택, 구매, 등록, 유지, 수리 및 폐기는 관련 절차를 엄격히 준수해야 하며 선택한 장비는 기술 실증을 거쳐야 합니다. 테스트 성능은 관련 국가 표준을 준수해야 합니다. 정보 시스템에 사용되는 서버와 같은 핵심 장비는 높은 신뢰성, 충분한 용량, 일정한 내결함성을 갖추고 적절한 예비 부품을 갖추고 있어야 합니다.

제24조 정보 시스템 네트워크는 관련 표준 및 사양을 참조하여 설계 및 구축되어야 하며, 네트워크 장비는 기술 발전과 제품 성숙도를 모두 갖춰야 하며 회선 임대 계약 관리가 엄격해야 합니다. 비즈니스 및 거래 흐름 요구 사항에 따라 전송 대역폭을 보장하며, 네트워크의 안전하고 안정적인 운영을 보장하기 위해 통신 회선 및 네트워크 장비를 모니터링하고 관리하는 완전한 네트워크 관리 센터를 구축합니다.

제25조: 은행 금융 기관은 네트워크 보안 관리를 강화해야 합니다. 생산 네트워크와 개발 및 테스트 네트워크, 비즈니스 네트워크와 사무실 네트워크, 내부 네트워크와 외부 네트워크를 격리해야 하며, 콘텐츠 필터링, 신원 인증, 방화벽, 바이러스 방지, 침입 탐지, 취약점 검색 등을 사용하여 무선 네트워크 및 인터넷 액세스 경계 제어를 강화해야 합니다. 데이터 암호화 등의 기술적 수단은 외부 공격, 정보 유출 등의 위험을 효과적으로 줄일 수 있습니다.

제26조 은행 금융 기관은 정보 시스템 암호화 기계, 키, 비밀번호, 암호화 및 복호화 절차 및 기타 보안 요소에 대한 관리를 강화하고 국가 보안 표준에 부합하는 암호화 장비를 사용하며 보안 생성을 개선해야 합니다. 요소, 수집, 이용, 수정, 보관, 파기 관리 시스템입니다. 키와 비밀번호는 정기적으로 변경해야 합니다.

제27조 은행 금융 기관은 데이터 수집, 저장, 전송, 사용, 백업, 복구, 무작위 검사, 청소, 파기 및 기타 측면에 대한 효과적인 관리를 강화해야 하며 데이터를 수집, 처리 또는 전송해서는 안 됩니다. 시스템 외부에서 데이터에 접근하고, 시스템 및 데이터베이스 보안 설정을 최적화하고, 인증에 따라 시스템과 데이터베이스를 엄격하게 사용하고, 적절한 데이터 암호화 기술을 사용하여 민감한 데이터의 전송 및 접근을 보호하고, 데이터 무결성과 기밀성을 보장합니다.

제28조 은행 금융 기관은 불법 생성, 변경, 유출, 손실 및 파괴를 방지하기 위해 정보 시스템 구성 매개변수에 대해 엄격한 보안 및 기밀 관리를 실시해야 합니다. 민감도와 목적에 따라 접근 권한, 방법, 허용된 사용 범위를 결정하고 승인 및 등록 절차를 엄격하게 시행합니다.

제29조: 은행 금융 기관은 정보 시스템 비상 계획을 수립하고 정기적인 훈련, 검토 및 개정을 실시해야 합니다. 지방 수준 이하의 데이터 센터는 최소한 오프사이트 데이터 백업 및 저장을 구현할 수 있고, 지방 데이터 센터는 최소한 오프사이트 실시간 데이터 백업을 구현할 수 있으며, 국가 데이터 센터는 오프사이트 재해 복구를 구현할 수 있습니다.

제30조 은행 금융 기관은 기술 문서와 중요한 데이터의 백업 관리를 강화해야 하며, 중요한 데이터는 지정된 기간 동안 외부에 보관 및 보관되어야 합니다. Authorization을 호출할 때는 엄격하게 사용되어야 합니다. 정보시스템의 기술문서에는 시스템 개발, 운영, 유지관리 과정에서 형성된 시스템 환경 설명 파일, 소스 프로그램, 각종 기술자료 등이 포함된다. 중요한 데이터에는 거래 데이터, 회계 데이터, 고객 데이터, 생성된 보고서 데이터 등이 포함됩니다.

제31조: 은행 금융 기관은 정보 시스템이 고객 서비스에 영향을 미칠 수 있는 경우 적절한 방식으로 고객에게 알려야 합니다.

R&D 위험 통제

제32조 R&D 위험은 R&D 위험 중 조직, 계획, 요구 사항, 분석, 설계, 프로그래밍, 테스트 및 생산에서 발생하는 정보 시스템을 의미합니다. .

제33조 은행금융기관의 정보시스템 연구개발에 앞서 프로젝트 실무그룹을 구성해야 하며, 주요 프로젝트의 경우 프로젝트 주도그룹도 구성하고 책임자를 지정해야 한다. 프로젝트 리더십 팀은 프로젝트의 조직, 조정, 검사 및 감독을 담당합니다. 프로젝트 실무그룹은 사업인력, 기술인력, 관리인력으로 구성되며, 구체적으로 전체 프로젝트의 개발을 담당합니다.

제34조 프로젝트 실무그룹의 구성원은 프로젝트 요구사항에 적합한 비즈니스 경험과 전문 기술 지식을 보유해야 합니다. 팀 리더는 정보 시스템 연구 및 개발의 품질과 진행을 보장하기 위한 조직적 리더십 기술을 보유해야 합니다. .

제35조: 은행 금융 기관의 업무 부서는 해당 기관의 사업 개발 전략과 전체 시장 조사 및 제품 이점 분석을 바탕으로 정보 시스템 연구 개발 프로젝트에 대한 타당성 보고서를 작성해야 합니다.

제36조: 은행 금융 기관의 업무 부서는 프로젝트 요구 사항 명세서를 작성하고 위험 통제 요구 사항을 제시해야 하며, 정보 기술 부서는 프로젝트 요구 사항에 따라 프로젝트 기능 명세서를 작성해야 합니다.

제37조 은행 금융 기관의 정보 기술 부서는 프로젝트 기능 사양에 따라 프로젝트의 전체 기술 프레임워크와 프로젝트 설계 사양을 작성해야 하며 설계 및 코딩은 프로젝트 요구 사항에 부합해야 합니다. 기능 사양.

제38조 은행 금융 기관은 테스트의 완전성과 정확성을 보장하기 위해 독립적인 테스트 환경을 구축해야 합니다. 테스트에는 최소한 기능 테스트, 보안 테스트, 스트레스 테스트, 승인 테스트 및 적응성 테스트가 포함되어야 합니다. 테스트에서는 프로덕션 데이터를 직접 사용해서는 안 됩니다.

제39조 은행 금융 기관의 정보 기술 부서는 테스트 결과에 따라 시스템의 기능과 결함을 수리하고 시스템의 전반적인 품질을 향상시켜야 합니다.

제40조 은행금융기관의 영업인원과 기술인원은 직무범위에 따라 운영지침, 긴급기술계획, 업무지속계획, 생산계획, 긴급복귀계획을 준비하고 훈련을 실시해야 한다.

제41조: 개발 과정과 관련된 각종 문서와 자료는 관련 부서와 직원의 서명과 확인을 거쳐 보관되어야 한다.

제42조 프로젝트 승인 시 관련 책임자가 서명한 프로젝트 승인 보고서를 발급해야 하며, 승인을 통과하지 못한 프로젝트는 생산에 투입할 수 없습니다.

제5장 운영 및 유지 관리 위험 통제

제43조 운영 및 유지 관리 위험은 운영 및 유지 관리 기간 동안 정보 시스템의 운영 관리, 변경 관리, 전산실 관리 및 이벤트 관리를 의미합니다. 다른 측면에서 발생하는 유지 관리 프로세스 위험.

제44조: 은행금융기관의 정보시스템의 운영 및 유지관리는 직무와 분리되어야 하며, 운영자는 정규직이어야 하며, 기타 인력을 겸직할 수 없다. 통신수는 운영 절차에 따라 검사하고 운영해야 합니다. 유지보수 담당자는 승인 및 유지보수 절차에 따라 소프트웨어, 하드웨어, 데이터를 생산 상태로 유지해야 하며, 긴급 상황을 제외하고 기타 유지보수 작업은 근무 시간 외 시간에 수행해야 합니다.

제45조 은행 금융 기관의 정보 시스템 운영은 다음 요구 사항을 준수해야 합니다.

(1) 검사 시간, 운영 범위, 내용, 방법, 명령, 담당자 및 기타 정보

(2) 정보 시스템 시작 또는 중지, 작업 로그 조회 등과 같은 일반적이고 간단한 작업 메뉴 또는 명령을 제공합니다.

p >

(3) 전산실 환경, 장비 사용, 네트워크 운영, 시스템 운영 등 모니터링 정보를 제공합니다.

(4) 컴퓨터실 환경, 운영 프로세스 및 기타 정보를 기록합니다. 운영 및 업무 프로세스.

제46조 은행 금융 기관의 정보 시스템 유지 관리는 다음 요구 사항을 준수해야 합니다.

(1) 정보 시스템 장비 및 시스템 환경의 유지 관리 외에도 소프트웨어 또는 데이터 유지 관리는 특정 애플리케이션을 통해 수행되어야 합니다. 데이터 추가, 삭제 및 수정은 현금 단말기를 통해 수행되어야 하며 데이터베이스에 대한 직접적인 조작은 허용되지 않습니다.

(2) 다양한 세부 로그가 있습니다. 유지 관리 및 감사를 위한 트랜잭션 로그 및 감사 로그 등의 정보

(3) 유지 관리 통계 및 보고서 인쇄 기능을 제공합니다.

제47조 은행 금융 기관의 정보 시스템 변경은 다음 요구 사항을 충족해야 합니다.

(1) 엄격한 변경 처리 프로세스를 개발하고 변경 관리에 대한 각 직위의 책임을 명확히 합니다. , 제어 및 관리를 구현하는 프로세스를 따릅니다. 변경 전에 긴급 및 롤백 계획을 명확히 해야 하며 승인 없이는 변경 작업이 허용되지 않습니다.

(2) 변경 요구 사항에 따라 계획 변경, 변경 내용 확인 목록 및 기타 관련 문서 변경의 정확성, 안전성 및 합법성을 검토합니다.

(3) 소프트웨어 도구를 사용하여 변경 내용의 실제 위치와 내용을 정확하게 파악하고 변경 내용 확인을 구성해야 합니다. 목록을 작성하고 진실되고 효과적이며 포괄적인 검사를 수행합니다.

(4) 소프트웨어 버전이 변경된 후에는 초기 버전과 모든 기록 버전을 보관해야 하며 모든 기록 변경 사항에 대한 확인 목록을 보관해야 합니다. .

제48조: 은행 금융 기관은 정보 시스템을 가동한 후 일정 기간 내에 시스템에 대한 사후 평가를 조직하고 시스템 기능을 적시에 조정 및 최적화해야 합니다. 평가.

제49조: 은행 금융기관은 전산실 환경 시설을 매일 점검해야 하며, 실시간 거래 서비스를 제공하는 데이터 센터 및 정보 시스템에 장애가 발생한 경우 비상 처리 절차와 계획을 명확히 해야 합니다. 24시간 근무.

제50조: 은행 금융 기관은 정보 시스템이 중대한 경제적 또는 명예 손실이나 중대한 영향을 초래하는 경우 사고 보고 시스템을 구현해야 하며, 이를 즉시 보고하고 처리해야 하며 필요한 경우 긴급 대응 계획을 활성화해야 합니다. .

아웃소싱 위험 통제

제51조: 아웃소싱 위험은 은행 금융 기관이 정보 시스템의 기획, 연구 개발, 구축, 운영, 유지 관리 및 모니터링을 업무 협력에 위탁하는 것을 의미합니다. 파트너나 외부 기술 제공업체를 이용하는 경우.

제52조: 정보 시스템을 아웃소싱할 때 은행 금융 기관은 위험 통제 및 실제 수요에 따라 아웃소싱의 원칙과 범위를 합리적으로 결정하고 아웃소싱의 잠재적 위험을 신중하게 분석 및 평가하며 관련 규칙을 개선해야 합니다. 및 규정을 수립하고 해당 위험 예방 조치를 수립합니다.

제53조 은행 금융 기관은 계약자의 운영 조건, 재무 건전성, 청렴성 이력, 안전 자격, 기술 서비스 능력 및 실제 위험 수준을 완전히 검토하고 평가하기 위한 아웃소싱 계약자 평가 메커니즘을 구축하고 개선해야 합니다. 책임과 필요한 실사를 수행합니다. 평가 작업은 해당 국가 규제 당국이 인증한 관련 전문 경험과 자격을 갖춘 독립 기관에 위탁될 수 있습니다.

제54조: 은행 금융 기관은 계약자와 서면 계약을 체결하여 양 당사자의 권리와 의무를 명확히 하고 보안, 기밀 유지 및 지적 재산권 측면에서 계약자의 의무와 책임을 규정해야 합니다. 진상.

제55조: 은행 금융 기관은 아웃소싱 서비스가 정보 시스템 위험 통제에 미치는 직간접적인 영향을 완전히 이해하고 이를 전체 보안 전략 및 위험 통제에 통합해야 합니다.

제56조: 은행 금융 기관은 완전한 정보 시스템 아웃소싱 위험 평가 및 모니터링 절차를 구축하고 아웃소싱으로 인해 발생하는 위험을 신중하게 관리하며 기관의 아웃소싱 관리 능력을 향상시켜야 합니다.

제57조: 은행 금융 기관의 정보 시스템 아웃소싱 위험 관리는 위험 관리 표준 및 전략을 준수해야 하며 아웃소싱 위험에 대한 비상 계획을 수립해야 합니다.

제58조: 은행 금융 기관은 아웃소싱 계약자와 효과적인 연락, 의사소통 및 정보 교환 메커니즘을 구축해야 하며, 아웃소싱 서비스가 간헐적인 비상 계획이 되지 않도록 예상치 못한 상황에서 계약자를 원활하게 변경할 수 있는 계획을 수립해야 합니다.

제59조: 은행 금융 기관은 국가 비밀, 영업 비밀 및 고객 개인 정보 보호 데이터의 관리 및 전송과 관련된 민감한 정보 시스템 및 기타 콘텐츠를 아웃소싱할 때 관련 국내 법률 및 규정을 준수해야 합니다. 중국 은행감독관리위원회 규정에 따라 이사회 또는 기타 의사결정기구의 승인을 받아야 하며, 아웃소싱을 실시하기 전에 법률 및 규정에 따라 보고해야 하는 중국 은행감독관리위원회 및 파견 사무소 및 기관에 보고해야 합니다.